Помогите расшифровать. новый шифровальщик

11 декабря, 2017

{KIARA}.SN-4793544493933116-kiaracript@gmail.com

вот такое содержимое файла с инструкциями

Обнаружен объект: Троян Trojan.BAT.BitCoinMiner.dg.

Имя объекта: C:\Users\Valentina\Desktop\MGP.exe//Hide.vbs

Обнаружен объект: Троян Trojan-Dropper.MSIL.Mine.dg.

Имя объекта: C:\Users\Valentina\Desktop\svshost.exe

пользователь валентина имел лёгкий пароль, и возможно его взломали, подобрали пароль к сессии RDP...

запаковал все расшареные папки в локальной сети...

какие наши действия? Зайти под этим пользователем и запустить утилиту сбора логов? или можно изпод админа? Сервер виртуальный 2008R2

CollectionLog-2017.12.11-12.22.zip

11 декабря, 2017

Здравствуйте!

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT

вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '');
 QuarantineFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '');
 DeleteFile('C:\Users\Valentina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{KIARA}.bmp', '32');
 DeleteFile('C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT', '32');
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-729847823-1059420049-4267801177-1008\Software\Microsoft\Windows\CurrentVersion\Run', '{CDE0DCAA-D176-5A46-B7B5-2174B5E77F1E}');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
end.

Перезагрузите компьютер вручную.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

11 декабря, 2017

Здравствуйте!

Файл

C:\Users\Valentina\HOW TO RECOVER ENCRYPTED FILES.TXT
вместе с парой зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению.

пользователя уже отключили и его папку удалили ( к сожалению...

--.rar

11 декабря, 2017

Продолжайте.

Помогите расшифровать. новый шифровальщик

Рекомендуемые сообщения

melekhin

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

melekhin

Ссылка на комментарий

Поделиться на другие сайты

Sandor

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum